Μια ομάδα χάκερ, που είχαν
εμπλακεί και κατά το παρελθόν σε διάφορες εκστρατείες hacktivism, μπήκαν
καταλάθος σε ένα σύστημα ICS/SCADA που είχε εγκατασταθεί σε εγκατάσταση
επεξεργασίας νερού και άλλαξε κρίσιμες ρυθμίσεις που ελέγχουν την
ποσότητα χημικών ουσιών που χρησιμοποιούνται για τη επεξεργασία του
νερού βρύσης.
Αυτό το παράξενο περιστατικό hacking περιγράφηκε στο 2016 Data Breach Digest (σελίδα 38, Σενάριο 8), μια συλλογή από μελέτες περίπτωσης που η ομάδα RISK της εταιρείας ήρθε για να ερευνήσει.
Το θύμα της παραβίασης είναι μια
εταιρεία που η Verizon αναγνώρισε με τη γενική ονομασία Kemuri Water
Company (KWC). Καθώς η ομάδα RISK εξηγεί, η εταιρεία παρατήρησε ότι, για
μια-δυο εβδομάδες, το κέντρο επεξεργασίας του νερού συμπεριφερόταν
αλλοπρόσαλλα, με τις χημικές τιμές να τροποποιούνται από το πουθενά.
Υποψιασμένοι ότι κάτι δεν πήγαινε καλά –
και κάτι που το IT προσωπικό της δεν ήταν σε θέση να εντοπίσει – η
εταιρεία έφερε την ομάδα RISK της Verizon για να διερευνήσει το γεγονός.
Αρχικά, η ομάδα RISK εντόπισε μια σειρά
από ζητήματα. Πρώτα απ’ όλα, η KWC χρησιμοποιούσε εξαιρετικά παρωχημένα
συστήματα ηλεκτρονικών υπολογιστών, μερικά από τα οποία έτρεχαν μέχρι
και δέκα ετών λειτουργικά συστήματα.
Επιπλέον, το σύνολο του IT δικτύου
πληροφορικής περιστρεφόταν γύρω από έναν ενιαίο εξοπλισμό, ένα AS400
σύστημα, το οποίο συνδέονταν με το εσωτερικό ΙΤ δίκτυο της εταιρείας και
τα SCADA συστήματα που διαχειρίζονται την εγκατάσταση επεξεργασίας
νερού (ένα μεγάλο όχι από άποψη της ασφάλειας!).
Ακόμα χειρότερα, το ίδιο AS400 εκτίθεντο στο Internet επειδή δρομολογούσε την κίνηση σε ένα Web διακομιστή,
όπου οι πελάτες της KWC μπορούσαν να ελέγχουν το μηνιαίο λογαριασμό
νερού τους, το τρέχον επίπεδο της κατανάλωσης νερού τους, ακόμα και να
πληρώνουν τους λογαριασμούς μέσω μιας ειδικής εφαρμογής πληρωμών.
Αλλά η Verizon επρόκειτο να πάρει μια μεγαλύτερη έκπληξη, επειδή η
έρευνα της εταιρείας ανακάλυψε επίσης ότι υπήρχε μόνο έναν KWC υπάλληλο,
ο οποίος διαχειριζόταν το σύστημα AS400, πράγμα που σημαίνει ότι οι
κυβερνο-εισβολές, όταν ο εργαζόμενος ήταν εκτός υπηρεσίας, θα δρούσαν
ανενόχλητοι και θα μπορούσαν εύκολα να έχει καταστρέψουν τη
δραστηριότητα της εταιρείας.
Μετά τη συλλογή όλων των βασικών
στοιχείων της αρχιτεκτονικής του δικτύου, η ομάδα RISK της Verizon
προχώρησε στην επιθεώρηση των αρχείων καταγραφής του εξοπλισμού AS400.
Συγκρίνοντας τις IPs που είχαν πρόσβαση στη συσκευή, ειδικοί σε θέματα
ασφάλειας βρήκαν γρήγορα τέσσερα IPs που σχετίζονταν με τις hacktivism campaigns.
Κοιτάζοντας βαθύτερα στο θέμα, η ομάδα
RISK ανακάλυψε ότι οι χάκερ παραβίασαν για πρώτη φορά το σύστημα μέσω
Web προσβάσιμων εφαρμογών για πληρωμές, ψάχνοντας για ευαίσθητες
πληροφορίες σχετικά με τους πελάτες της εταιρείας.
Φαίνεται ότι οι hackers ανακάλυψαν ένα
θέμα ευπάθειας στο σύστημα πληρωμών, το οποίο χρησιμοποίησαν για να
αποκτήσουν πρόσβαση στον Web διακομιστή, όπου βρήκαν επίσης ένα αρχείο INI που περιείχε διαπιστευτήρια διαχειριστή, σε απλό κείμενο, για τον εξοπλισμό AS400.
Καθώς τους κίνησε την περιέργεια, οι
hackers μπήκανε στο AS400 σύστημα, από όπου και κατέληξαν στο σύστημα
SCADA και άρχισαν να τροποποιούν παραμέτρους τυχαία, εν αγνοία τους
αλλάζοντας τις τιμές επεξεργασίας νερού.
Δευτερεύοντα μέτρα ασφαλείας επέτρεπαν
στην KWC να ανιχνεύει ανωμαλίες στα επίπεδα των απελευθερωμένων χημικών
ουσιών, και ακυρώθηκε μετά από οδηγίες των χάκερ, αλλά αυτό συνέβη
αρκετές φορές για να εγείρει υποψίες ότι αυτό έπρεπε να είναι κάτι
περισσότερο από μια δυσλειτουργία.
Αφότου η Verizon τελείωσε την έρευνά
της, η ομάδα RISK διαβεβαίωσε ότι δεν υπήρξε καμία κακόβουλη κίνηση από
την πλευρά των χάκερ. Επίσης, ενημέρωσαν την εταιρία επεξεργασίας νερού
ότι οι χάκερ είχαν πρόσβαση σε πάνω από 2,5 εκατομμύρια προσωπικά και
οικονομικά στοιχεία πελατών και παρείχαν τεχνική γνώση σχετικά με τον
τρόπο που η KWC θα μπορούσε να επιδιορθώσει το ΙΤ σύστημα της για να προλάβει παρόμοια περιστατικά.
Λίγες εβδομάδες πριν, είχε συμβεί άλλη
μία παραβίαση για την Verizon Data Breach Digest, όπου πειρατές
προσέλαβαν έναν χάκερ για να μπει στο CMS μιας ναυτιλιακής εταιρείας
και να κλέψει πληροφορίες για τα δρομολόγια πλοίων ώστε να μπορέσουν να
προγραμματίσουν τις επιθέσεις τους και να κυνηγήσουν το πιο πολύτιμο
φορτίο.
πηγη
Κάντε like στη σελίδα μας στο facebook και ενημερωθείτε για ό,τι νέο.